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PROCEDE D'AUTHENTIFI CATION OU DE SIGNATURE A NOMBRE DE 

CALCULS REDUIT 



Domaine technique 

La presente invention a pour objet un procede 
d 1 authentif ication ou de signature a nombre de calculs 
reduit. 

L' invention concerne plus precisement le 
domaine de la cryptographie dite a cle publique. Dans 
de tels procedes, l'entite a authentif ier possede une 
cle secrete et une cle publique associee. L'entite 
authentif iante a uniquement besoin.de cette cle 
publique pour realiser 1 1 authentif ication . 

L ! invention concerne plus precisement encore le 
domaine des procedes d 1 authentif ication dits a 
connaissance nulle ou sans apport de connaissance 
("zero-knowledge"). Dans ce type de procede, 
1 1 authentif ication se deroule suivant un protocole qui, 
de fagon prouvee, et sous des hypotheses reconnues 
comme parfaitement raisonnables par la communaute 
scient if ique, ne revele rien sur la cle secrete de 
l'entite a authentif ier . 

Plus precisement encore, 1 ! invention concerne 
des procedes sans apport de connaissance bases sur le. 
probleme de la factorisation (c'est-a-dire sur la 
difficulty de decomposer de grands entiers en un 
produit de nombres premiers) . 

L 1 invention trouve une application dans tous 
les systemes necessitant d* authentif ier des entites ou 
des messages, ou de signer des messages, et plus 
particulierement dans les systemes ou le nombre de 
calculs effectues par l'entite authentifiee constitue 
un parametre critique. C'est notamment le cas des 
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cartes a microcircuit standards ou a bas cout, non 
pourvues d'un coprocesseur arithmetique (appele souvent 
cryptoprocesseur) pour accelerer les calculs 
cryptographiques . 
5 Une application typique de 1' invention est le 

porte-monnaie electronique, qui requiert un tres haut 
niveau de securite, tout en excluant 1' usage d'un 
cryptoprocesseur, soit pour des raisons de cout, soit 
pour des raisons techniques (par exemple 1 1 utilisation 
10 d'une interface sans contact), soit pour les deux. 

Une autre application possible est la telecarte 
de future generation, pour laquelle les contraintes de 
cout sont encore bien plus severes que pour le porte- 
monnaie electronique. 

15 

Etat de la technique anterieure 

De nombreux protocoles d 1 identification du type 
sans apport de connaissance sont connus. On peut citer, 
par exemple : 

20 - le protocole de FIAT-SHAMIR decrit dans l f article de 
A. FIAT et A. SHAMIR intitule "How to prove 
yourself : Practical solutions to identification and 
signature problems", publie dans "Advances in 
Cryptology : Proceedings of CRYPTO 1 86, Lecture Notes 

25 in Computer Science", vol. 263, Springer-Verlag, 

Berlin, 1987, pp. 186-194, 
- le protocole de GUILLOU-QUISQUATER decrit dans 
l'article de L.C. GUILLOU et J.J. QUISQUATER, 
intitule "A practical zero-knowledge protocole fitted 

30 to security microprocessors minimizing both 

transmission and memory", publie dans "Advances in 
Cryptology : Proceedings of EUROCRYPT ' 88 , Lecture 
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Notes in Computer Science", vol. 330, Springer- 
verlag, Berlin, 1988, pp. 123-128, 
- le protocole de GIRAULT decrit dans la demande de 
brevet frangais FR-A-2 716 058, base sur le probleme 
5 dit du logarithme discret. 

De fagon generale, la plupart des protocoles 
d f identification (ou d 1 authentif icat ion de message) a 
apport nul de connaissance se deroulent en trois 
echanges. On supposera, afin de simplifier la 
10 description, que l'entite authentif iante B connait deja 
tous les parametres publics caracteristiques de 
l'entite a authentif ier A, a savoir son identite, sa 
cle publique, etc. . 

Lors du premier echange, A fournit a B une 
15 valeur c dite "engagement", image par une fonction 
pseudo-aleatoire h d'un parametre x (lui-meme calcule a 
partir d'un nombre r choisi au hasard par A), ainsi 
que, s'il y a lieu, du message a authentif ier ou a 
signer : c=h (x, [M] ) ou la notation [M] exprime que M 
20 est optionnel. C ! est la premiere etape. Dans certains 
protocoles, il peut y avoir plusieurs engagements. 

Lors d'un deuxieme echange, B envoie a A un 
parametre e choisi au hasard (la "question"). C'est la 
deuxieme etape. 

25 Lors du troisieme echange, A fournit a B une 

"reponse" y, coherente avec la question e, 1' engagement 
c et la cle secrete v de A (troisieme etape) . 

Enfin, B controle la reponse regue. Plus 
precisement, B recalcule x a partir des elements y, e 
30 et v par x=cp(y,e,v) ; puis il verifie que : 
c=h ((p ( v, e, y ) , [M] ) (quatrieme etape). 

Dans le cas ou il n'y a pas de message a 
authentif ier, le recours a la fonction pseudo-aleatoire 
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h est optionnel. On peut prendre alors c=x. La 
verification consiste alors a verifier que x=cp(y,e,v). 

Dans certains protocoles, il y a un ou deux 
echanges supplernentaires entre les entites a 
5 authentifier et authent if iante . 

Dans le cas d 1 une signature de message, les 
deux premiers echanges sont supprimes, car le parametre 
e est choisi egal a c ; A calcule alors successivement , 
et seul, c, e(=c) et y. 
10 Le nombre u de questions possibles est 

directement relie au niveau de securite du protocole. 
Ce dernier est defini comme la probability p de 
detection d f un imposteur (c 1 est-a-dire d'une entite C 
qui tente f rauduleusement de se faire passer pour A), 
15 et est caracterise par un parametre k. Les nombres p et 
k sont relies par l'egalite : p=l-2" k . En d'autres 
termes, 1 1 imposteur n f a qu'une chance sur 2 k de reussir 
son imposture. Dans le cas present, on peut montrer 
que, si le protocole repose sur un probleme 
20 mathematique difficile, et si les engagements sont de 
longueur suffisante, alors il suffit que la longueur de 
u soit egale a k bits. Typiquement, k est egal a 32 
bits, ce qui donne seulement une chance sur quatre 
milliards de reussir .une imposture. Dans les . 
25 applications ou 1'echec d'une identification peut avoir 
des consequences tres nefastes (poursuite judiciaire 
par exemple) , cette longueur peut etre reduite a 
quelques bits. 

Dans les protocoles bases sur la factorisation, 
30 le calcul de x a partir de r, ou le calcul de y a 
partir de e, ou les deux, implique(nt) des operations 
modulo n ou n est un nombre compose difficile a 
factoriser. Ce nombre est de type universel, c'est-a- 
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dire genere par une tierce partie de confiance, 
memorise et utilise par toutes les entites qui y sont 
rattachees. Le caractere universel de n implique qu'il 
est de tres grande taille (typiquement 1024 bits), car 
la decouverte de la factorisation de n compromettrait 
les cles secretes de tous les utilisateurs . 

Dans leur version de base, aucun des protocoles 
mentionnes plus haut ne peut etre mis en oeuvre dans 
une application soumise a de fortes contraintes, (bas 
coOt, faible complexite) telles que decrites dans la 
section precedente, car les calculs requis ne 
pourraient etre effectues par une carte a microcircuit 
qui ne serait pas dotee d'un cryptoprocesseur . 

La demande de brevet frangais FR-A-2 752 122 
15 decrit bien une optimisation de ces protocoles, mais 
cette optimisation reste limitee aux protocoles bases 
sur le logarithme discret dans un mode dit "a 
precalculs" qui presente 1 ! inconvenient d'impliquer des 
rechargements a intervalles reguliers . 

20 

La presente invention a justement pour but de 
remedier a cet inconvenient. Elle tend a reduire le 
nombre de calculs effectues par l'entite authentifiee 
dans les protocoles . d 'identification (ou 

25 d 1 authentif ication de message ou de signature de 
message) sans apport de connaissance bases sur la 
factorisation, cette reduction pouvant atteindre un 
facteur 2 ou 3 . 

Elle rend ainsi possible, et plus 

30 particulierement quand on la couple avec le protocole 
Guillou-Quisquater, 1' execution rapide d'un algorithme 
d ' identification (ou d 1 authentif ication de message ou 
de signature de message) a cle publique dans une carte 
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a microcircuit standard a bas cout, pour des 
applications telles que le porte-monnaie electronique 
ou la telecarte de future generation. 

5 Expose de 1' invention 

Ce but est atteint en choisissant pour le 
module n non pas un parametre de type universel, mais 
un parametre de type individuel (en d'autres termes, 
chaque utilisateur possede sa propre valeur de n) , et 
10 d' exploiter ce choix des deux manieres suivantes, (qui 
peuvent d'ailleurs etre avantageusement combinees) : 

1) d'abord en choisissant une taille de n inferieure a 
la valeur usuelle (typiquement inferieure a 1000 et 
par exemple comprise entre 700 et 800) ; cela est 

15 possible car la decouverte de la factorisation de n 

ne compromet plus que la cle secrete de 
1 1 utilisateur correspondant et en aucune fagon celle 
des autres ; cette seule modification permet de 
reduire deja d'environ 40% la duree des calculs 

20 effectues modulo n ; 

2) si 1 1 utilisateur a conserve les facteurs premiers de 
n dans la memoire de son dispositif de securite, on 
peut mettre en oeuvre la technique dite des restes 
chinois, pour reduire encore, d'environ 40%. la duree 

25 des calculs effectues modulo n, lorsque le nombre de 

facteurs premiers est 2 ; cette reduction peut etre 
encore amplifiee en utilisant plusieurs facteurs 
premiers (typiquement 3 ou 4). 

Au total, on peut done reduire les temps de 
30 calcul modulo n d'au moins 60%, e'est-a-dire d'au moins 
un f acteur 2 . 
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De fagon precise, l f invention a pour objet un 
procede d ' authentif ication mettant en oeuvre une 
premiere entite dite "a authentifier", possedant une 
cle publique v et une cle secrete s, ces cles etant 
5 reliees par une operation modulo n ou n est un entier 
appele module, et une seconde entite dite 
"authentif iante" , connaissant la cle publique v, ce 
procede comprenant des echanges d 1 informations du type 
a apport nul de connaissance entre 1' entite a 

10 authentifier et I'entite authentif iante et des calculs 
cryptographiques portant sur ces informations, certains 
calculs etant effectues modulo n, ce procede etant 
caracterise en ce que le module n est propre a I'entite 
a authentifier, laquelle communique ce module a 

15 I'entite authentif iante . 

Dans un mode de mise en oeuvre avantageux, 
1 ! operation modulo n est du type v=s -t (mod p.) ou t est 
un parametre, et les echanges d 1 informations du type a 
apport nul de connaissance et les calculs 

20 cryptographiques sont les suivants : 

♦ I'entite a authentifier choisit au hasard un 
(des) nombre(s) entier (s) r compris entre 1 et 
n-1 et calcule un (des) parametre (s) x egal 

. . . (egaux) a rt (mod n) > puis un (des) nombre(s) c 
25 appele (s) engagement ( s ) qui est (sont) une 

(des) fonction(s) de ce (ces) pararr.etre (s) et 
eventuellement d ' un message (M) , et envoie cet 
(ces) engagement (s) a I'entite authentif iante ; 

• I'entite authentif iante regoit le ou les 
30 engagement (s) c, choisit au hasard un nombre e 

appele "question" et envoie cette question a 
I'entite a authentifier ; 
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• I'entite a authentifier regoit la question e, 
effectue un (des) calcul (s) utilisant cette 
question e et la cle secrete s, le resultat de 
ce (ces) calcul (s) constituant une (des) 
reponse(s) y, et envoie cette (ces) reponse(s) 
a I'entite authentif iante ; 

• I'entite authentif iante regoit la (les) 
reponse(s) y, effectue un calcul utilisant la 
cle publique v et le module n, et verifie par 
une operation modulo n que le resultat de ce 
calcul est bien coherent avec le (les) 
engagement (s) re?u(s) . 

La presente invention a egalement pour objet un 
procede de signature de message par une entite dite 
"signataire", cette entite possedant une cle publique v 
et une cle secrete s, ces cles etant reliees par 
v=s _t (mocl n) ou n est un entier appele "module" et t un 
parametre, procede dans lequel I'entite signataire 
calcule un engagement c fonction notamment du message a 
signer et un nombre y fonction de la cle secrete, emet 
les nombres y et c qui constituent la signature du 
message et le message, ce procede etant caracterise en 
ce que le module n est propre au signataire. 

Dans un mode de mise • en oeuvre avantageux, le 
signataire choisit au hasard un nombre entier r compris 
entre 1 et n-1, calcule un parametre x egal a 
r"(mod n) , calcule un nombre c fonction du parametre x 
et du message a signer, calcule un nombre y a l'aide de 
sa cle secrete s et fonction des nombres r et e, et 
emet les nombres c et y comme signature. 
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Description detaillee de modes particuliers de mise en 
oeuvre de 1 1 invention 

Dans la description qui suit, 1* invention est 
supposee etre appliquee au protocole GUILLOU-QUISQUATER 
5 mais, naturellement, il ne s'agit la que d'un exemple 
et l 1 invention n'est nullement limitee a ce protocole. 

On rappelle que dans le protocole de GUILLOU- 
QUISQUATER, les parametres universels sont le module n, 
produits de nombres premiers et comprenant au moins 
10 1024 bits, et un nombre t entier. 

La cle publique v et la cle secrete s sont 
reliees par l'equation : v=s -1 (mod n) . 

Le niveau de securite choisi est u (inferieur 
ou egal a t, et le plus souvent, u=t) . 
15 L 1 authentif ication de A par B, que l'on peut 

appeler respectivement Alice et Bob selon la 
terminologie en usage, se deroule comme suit : 
1. Alice choisit r dans l'intervalle [l,n-l], calcule 
- x=r t (mod n) puis c=h(x, [M] ) et envoie c a Bob. 
20 2. Bob choisit e dans l'intervalle [0,u-l] et envoie e 
a Alice. 

3. Alice calcule y=rs e (mod n) et envoie y a Bob. 

4. Bob calcule x=y c v e (mod n) et verifie que c=h (x, [M] ) 

Dans le cas ou il n f y a pas de message a 
25 authentif ier, le recours a la fonction pseudo-aleatoire 
h est optionnel : on peut prendre c=x. La verification 
consiste alors a verifier que x=y t v e (mod n) . 

Avec le protocole modifie selon 1' invention, le 
seul parametre universel est to. 
30 La cle publique est (n,v), ou n a au moins 768 

bits. La cle publique v et la cle secrete s d'Alice 
sont reliees par 1' equation : v=s' 1 (mod n) . 
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La cle secrete peut aussi inclure les facteurs 
premiers de n afin de beneficier du deuxieme volet de 
1 ' invention . 

Le parametre t peut etre inclus dans la cle 
5 publique (dans ce cas, il n'y a plus de parametre 
universel) . 

Le niveau de securite choisi par Alice et Bob 
est u (inferieur ou egal a t ; souvent u=t) . 

L 1 authentif ication d' Alice par Bob se deroule 
10 comme decrit plus haut, mais avec des calculs plus 
rapides grace a un module plus petit. 

Puisque tous les calculs d'Alice sont effectues 
modulo n, le facteur de gain obtenu sur une unique 
multiplication modulaire se repercute sur 1' ensemble 
15 des calculs effectues par Alice durant 1 ' execution du 
protocole. II en serait de meme avec les protocoles de 
Fiat-Shamir ou de Girault par exemple (dans ce dernier 
cas, il n ! y a pas de gain dans l'etape 3 puisqu'il n'y 
a " plus de calculs modulaires, mais de toute fagon le 
20 temps d 1 execution de cette etape est negligeable par 
rapport a 1 * exponent iat ion modulaire de la premiere 
etape) . 

L' invention peut egalement etre mise en oeuvre 
25 par la technique dite des restes chinois, qui consiste 
a effectuer les calculs modulo chacun des nombres 
premiers composant n. Comme ces nombres sont 
necessairement beaucoup plus petits, ces calculs sont 
rapides. II reste a calculer le resultat modulo n a 
30 l'aide d'une operation dite de reconstitut ion . Cette 
technique est decrite dans 1 ? article de J.J QUISQUATER 
et C. COUVREUR, intitule "Fast decipherment algorithm 
for RSA public-key cryptosystem" , publie dans 
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"Electronic Letters", vol. 18, Octobre 1982, pp. 905- 
907. 

On considere done le cas ou n est le produit de 
deux facteurs premiers p et q. 
5 D'apres le theoreme de Bezout, il existe deux 

entiers a et b tels que ap+bq=l. 

Pour calculer y=x e (mod n), on commence par 
"reduire" x modulo chacun des nombres premiers en 
calculant x p =x (mod p) et x q =x (mod q) . On reduit 
10 egalement e modulo (p-1) et (q-1) en calculant 
e p =emod(p-l) et e q =emod (q-1 ) . (Dans le protocole de 
Guillou-Quisquater, e est toujours inferieur a p-1 et 
q-1 et par consequent ep=eq=e) . 

e 

On calcule alors yp =x p P ( mod P) e t 

e 

15 yq=Xqq q (mod q) . Quand p et q sont de tailles 

semblables, chacun de ces calculs est environ 8 fois 
plus rapide que le calcul y=x e (mod n) quand la taille 
de e est celle de n (premier cas) ; 4 fois plus rapide 
quand elle est inferieure ou egale a celle de p 

20 (deuxieme cas comme par exemple dans 1 1 algorithme) . 
L' ensemble des deux calculs est done, soit 4 fois plus 
rapide, soit 2 fois plus rapide. 

II' reste a feconst ituer " y a partir de y p et y q / 
ce qui est realise par 1' operation : 

25 y=y P + ap (y q -y p ) (mod n) 

Au total, la methode des restes chinois permet 
d'accelerer le calcul d ! un facteur compris entre 3 et 4 
dans le premier cas, entre 1,5 et 2 dans le deuxieme 
cas. Lorsque le nombre de facteurs premiers (supposes 

30 de tailles semblables) est egal a k, le facteur 
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d' acceleration est proche de k 2 dans le premier cas, 
proche de k dans le deuxieme cas. 
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REVENDICATIONS 

1. Procede d 1 authentif icat ion mettant en oeuvre 
une premiere entite dite "a authentif ier" (A) , 
possedant une cle publique v et une cle secrete js, ces 
cles etant reliees par une operation modulo n ou n est 
un entier appele module, et une seconde entite dite 
"authentif iante" (B) , connaissant la cle publique v, ce 
procede comprenant des echanges d 1 informations du type 
a apport nul de connaissance entre 1' entite a 
authentifier (A) et I'entite authentif iante (B) et des 
calculs cryptographiques portant sur ces informations, 
certains calculs etant effectues modulo n, ce procede 
etant caracterise en ce que le module n est propre a 
1" entite a authentifier (A), laquelle communique ce 
module a I'entite authentif iante (B) . 

2. Procede selon la revendicat ion 1, dans lequel 
1 ' operation modulo n est du type v=s~ c (mod n) , t etant 
un parametre et les echanges d 1 informations du type a 
apport nul de connaissance et les calculs 
cryptographiques sont les suivants : 

• l'entite a authentifier (A) choisit au hasard 
un (des) nombre(s) entier (s) . r compris entre 1 
et n-1 et calcule un (des) parametre ( s ) (x) 
egal (egaux) a r c (mod n), puis un (des) 
nombre(s) c appele (s) engagement (s) qui est 
(sont) une (des) fonction(s) de ce (ces) 
parametre (s) et eventuellement d'un message 
(M) , et envoie cet (ces) engagement ( s ) a 
l'entite authentif iante (B) ; 

• l'entite authentif iante (B) regoit le ou les 
engagement (s) c, choisit au hasard un nombre e 
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appele "question" et envoie cette question a 
l'entite a authentifier (A) ; 

• l'entite a authentifier (A) recoit la question 
e, effectue un (des) calcul (s) utilisant cette 
question e et la cle secrete s, le resultat de 
ce (ces) calcul (s) constituant une (des) 
reponse(s) y, et envoie cette (ces) reponse(s) 
a l'entite authentif iante (B) ; 

• l'entite authentif iante (B) recoit la (les) 
reponse(s) y, effectue un calcul utilisant la 
cle publique v et le module n, et verifie par 
une operation modulo n que le resultat de ce 
calcul est bien coherent avec le (les) 
engagement (s) recu(s). 

3. Procede selon la revendication 2, dans lequel 
le nombre n est inferieur a 1 000. 

4. Procede selon la revendication 3, dans lequel 
le nombre n est compris entre 700 et 800. 

5. Procede selon l'une quelconque des 
revendications 1 a A, dans lequel n est le produit de 
deux nombres entiers . (p, q) et dans lequel les 
operations modulo n sont effectuees par la methode dite 
"des restes chinois". 

6. Procede de signature de message par une entite 
dite "signataire" (A), cette entite possedant une cle 
publique v et une cle secrete s, ces cles etant reliees 
par v=s"'(mod n) ou n est un entier appele "module" et t 
un parametre, procede dans lequel l'entite signataire 
(A) calcule un engagement c fonction notamment du 
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message a signer M et un nombre y fonction de la cle 
secrete, emet les nombres y et c qui constituent la 
signature du message M et le message M, ce procede 
etant caracterise en ce que le module n est propre au 
5 signataire. 

7. Procede de signature de message selon la 
revendication 6, dans lequel le signataire choisit au 
hasard un nombre entier r_ compris entre 1 et n-1, 
10 calcule un parametre x egal a r 11 (mod n) , calcule un 
nombre c fonction du parametre x et du message a signer 
M, calcule un nombre y a 1'aide de sa cle secrete s et : 
fonction des nombres r et e, et emet les nombres c et y 
comme signature. 
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RE VEND I CAT I ON S 

1. Procede d 1 authentif ication mettant en oeuvre 
une premiere entite dite "a authentif ier" (A) , 
possedant une cle publique v et une cle secrete s, ces 
cles etant reliees par une operation modulo n ou n est 
un entier appele module, et une seconde entite dite 
"authentif iante" (B) , connaissant la cle publique v, 
ces entites, telles que cartes a microcircuit , porte- 
monnaie electronique, telecarte, comprenant des moyens 
aptes a echanger des informations du type a apport nul 
de connaissance et a effectuer des calculs 
cryptographiques portant sur ces informations, certains 
calculs etant effectues modulo n, ce procede etant 
caracterise en ce que le module n est propre a l f entite 
a authentifier (A) , laquelle communique ce module a 
l'entite authentif iante (B) . 

2. Procede selon la revendication 1, dans lequel 
1' operation modulo n est du type v=s~ t (mod n) , t 6tant 
un parametre et les echanges d 1 informations du type a 
apport nul de connaissance et les calculs 
cryptographiques sont les suivants : 

• l'entite a authentifier (A) choisit au hasard 
un (des) nombre(s) entier (s) r compris entre 1 
et n-1 et calcule un (des) parametre (s) (x) 
egal (egaux) a r fc (mod n) , puis un (des) 
nombre(s) c appele (s) engagement ( s ) qui est 
(sont) une (des) fonction(s) de ce (ces) 
parametre (s) et eventuellement d'un message 
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(M) , et envoie cet (ces) engagement (s) a 
l'entite authentif iante (B) ; 

• l'entite authentif iante (B) regoit le ou les 
engagement (s) c, choisit au hasard un nombre e 

5 appele "question" et envoie cette question a 

l'entite a authentif ier (A) ; 

• l'entite a authentif ier (A) regoit la question 
e, effectue un (cles) calcul(s) utilisant cette 
question e et la cle secrete s, le resultat de 

10 ce (ces) calcul(s) constituant une (des) 

reponse(s) y, et envoie cette (ces) reponse(s) 
a l'entite authentif iante (B) ; 

• l'entite authentif iante (B) regoit la (les) 
response (s) effectue un calcul utilisant la 

15 cle publique v et le module n, et verifie par 

une operation modulo n que le resultat de ce 
calcul est bien coherent avec le (les) 
engagement ( s ) regu ( s ) . 

20 3. Proc6de selon la revendication 2, dans lequel 

le nombre n est inferieur a 1 000. 

.4. Procede selon la revendication 3, dans lequel 
le nombre n est compris entre 700 et 800. 

25 

5. Procede selon l'une quelconque des 
revendications 1 a 4, dans lequel n est le produit de 
deux nombres entiers (p, q) et dans lequel les 
operations modulo n sont effectuees par la methode dite 
30 "des restes chinois". 
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6. Precede de signature de message par une entite 
dite "signataire" (A), cette entite possedant une cle 
publique v et une cle secrete s, ces cles etant reliees 
par v=s' t (mod n) ou n est un entier appele "module" et t 
un parametre, ce signataire, tel que carte a 
microcircuit, porte-monnaie electronique, telecarte, 
comprenant des moyens aptes a calculer un engagement c 
fonction notamment du message a signer M et un nombre y 
fonction de la cle secrete, a emettre les nombres ^ et 
c qui constituent la signature du message M et le 
message M, ce procede etant caracterise en ce que le 
module n est propre au signataire. 

7. Procede de signature de message selon la 
revendication 6, dans lequel le signataire choisit au 
hasard un nombre entier r compris entre 1 et n-1, 
calcule un parametre x egal k r^mod n), calcule un 
nombre c fonction du parametre x et du message a signer 
M f calcule un nombre y a l'aide de sa cl6 secrete s et 
fonction des nombres r et e, et emet les nombres c et y_ 
comme signature. 
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